Abo
  • Services:
Anzeige
Derusbi setzt die Driver Signing Policy von Windows außer Kraft.
Derusbi setzt die Driver Signing Policy von Windows außer Kraft. (Bild: Sekoia)

Malware: Derusbi umgeht trickreich die Windows Driver Signing Policy

Derusbi setzt die Driver Signing Policy von Windows außer Kraft.
Derusbi setzt die Driver Signing Policy von Windows außer Kraft. (Bild: Sekoia)

Sicherheitsforscher haben neue Details zu der seit mehreren Jahren aktiven Derusbi-Malware veröffentlicht. Die Malware nutzt Schwachstellen in Treibern aus, um sich unentdeckt auf dem System zu installieren.

Die aus verschiedenen Hacks bekannte Malware Derusbi nutzt eine Schwachstelle in einigen Treibern aus, um die Driver Signing Policy des Betriebssystems Windows außer Gefecht zu setzen - das hat die Sicherheitsfirma Sekoia herausgefunden.

Anzeige

Derusbi ist keine unbekannte Malware. Bereits im Jahr 2008 wurde die Schadsoftware entdeckt. In den vergangenen Jahren tauchte auch vermehrt verwandte Schadsoftware auf. 2011 wurde Derusbi beispielsweise bei einem Hack auf Mitsubishi Heavy Industries eingesetzt. Auch bei dem sogenannten Anthem Hack in diesem Jahr, bei dem rund 79 Millionen Datensätze von Versicherten kopiert wurden, kam sie zum Einsatz.

Die Funktionsweise ist typisch für ausgereifte Malware und Trojaner: Nachdem ein sogenannter Loader ausgeführt wurde, vermutlich mittels Phishing oder Drive-By-Download, wird Derusbi auf das anzugreifende Zielsystem nachgeladen und erweitert die notwendigen Rechte, um einen Angriff vorzunehmen. So können die Systeme so manipuliert werden, dass der eigentliche Angriff erfolgreicher verläuft. Noch dazu wird es Antivirensystemen schwerer gemacht, die eigentliche Schadsoftware auszumachen.

Eine Schwachstelle in alten Treibern ermöglicht den Angriff

Die Experten der französischen Sicherheitsfirma Sekoia haben nun herausgefunden, wie genau es der Schadsoftware gelingt, sich auf dem Zielsystem als legitim auszugeben und warum sie nur schwer durch gängige Abwehrmechanismen gestoppt werden kann. Die Entwickler von Derusbi nutzen eine Schwachstelle (CVE-2013-3956) in veralteten Treibern, um eine Manipulation von Speicheradressinhalten vorzunehmen. Damit gelingt es ihnen, die sogenannte Driver Signing Policy auszutricksen.

Diese Policy dient seit Windows Vista dazu, dass nur signierte und damit von vertrauenswürdigen Herstellern erstellte Treiber geladen werden können. Dieser Mechanismus soll also sicherstellen, dass keine Rootkits installiert werden können. Die Driver Signing Policy lässt sich zwar manuell komplett ausschalten, doch dann befindet sich der Windows-PC im Testmodus, was mit dem Wasserzeichen "Testmodus" in der rechten unteren Ecke des Bildschirmes deutlich gemacht wird - also ein äußerst auffälliges Vorgehen für eine Schadsoftware, die im Verborgenen bleiben möchte.

Driver Signing Policy wird unsichtbar deaktiviert

Laut Sekoia nutzt Derusbi einen neuen Weg, um die Driver Signing Policy zu umgehen. In dem untersuchten Fall werden drei signierte Treiber der Firma Novell geladen, die gegenüber der genannten Schwachstelle anfällig sind, so dass die Speicheradressinhalte manipuliert werden können. Das Besondere an dem Vorgehen ist, dass die Driver Signing Policy durch die Manipulation nicht unmittelbar deaktiviert, sondern letztlich nur der innere Mechanismus zur Überprüfung außer Gefecht gesetzt wird. Die Richtlinie bleibt erhalten, wird aber faktisch wirkungslos. Somit bemerkt weder der Nutzer noch das Betriebssystem oder die Antivirensoftware, dass die Driver Signing Policy nicht so arbeitet wie eigentlich angedacht. Sind diese Vorbereitungen von Derusbi getroffen, wird weitere Schadsoftware platziert und ausgeführt, und der Angriff nimmt seinen Lauf.

Die Experten von Fortinet kamen bereits in früheren Untersuchungen zu dem Ergebnis, dass Derusbi sehr modular ist und von den Entwicklern ein mehrstufiger Ansatz gewählt wurde. Zudem wird die Schadsoftware nur auf bestimmte Ziele angesetzt. Die neuen Erkenntnisse stützen diese Thesen und zeigen, wie zielgenau die Entwickler Schwachstellen zu nutzen wissen, um letztlich Zugriff auf Zielsysteme zu erlangen.

Sowohl die lange Historie der Malware als auch die trickreichen Vorgehensweisen zeigen, dass die Entwickler eine ganze Reihe an Möglichkeiten (und Exploits) haben, um Zielsysteme zu befallen. Es ist anzunehmen, dass das ermittelte Vorgehen zum Befall nur eines von vielen ist und es sich bei Derusbi um einen Baustein einer ganzen Schadsoftware-Suite handelt. Die Entwickler scheinen ein sehr großes Insiderwissen über den Windows-Kernel zu haben und noch dazu ausreichende Ressourcen, um gezielte Angriffe vornehmen zu können. Möglich also, dass es sich um einen Geheimdienst oder eine Organisation mit ähnlich großen Ressourcen handelt.


eye home zur Startseite
Schiwi 10. Dez 2015

Trotzdem beunruhigend dass die Malware Hersteller wohl über große Ressourcen und offenbar...

multivac 08. Dez 2015

zu 1.) Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Nürnberg
  2. über Ratbacher GmbH, Raum Bielefeld
  3. MED-EL Medical Electronics, Innsbruck (Österreich)
  4. Vorwerk & Co. KG, Düsseldorf


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 4,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

  1. Schmeißt Bittorrent an :D

    pythoneer | 19:38

  2. Re: Nur kleinwaagen?

    ArcherV | 19:37

  3. Re: Wegwerfauto

    ArcherV | 19:35

  4. Re: für Git wenig relevant

    crazypsycho | 19:29

  5. Re: Biete Job für Linux-Profi in Bremen

    quineloe | 19:29


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel